पासकी प्रदाता: प्रकार, AAGUID और अपनाना

Looking for a developer-focused passkey reference? Download our Passkeys Cheat Sheet (incl. WebAuthn ceremonies, objects & Conditional UI). Trusted by dev teams at Ally, Stanford CS & more.

Get Cheat Sheet

जब हम passkeys का उपयोग करते हैं या passkey implementation के क्षेत्र में काम करते हैं, तो एक घटक (component) काफी महत्वपूर्ण हो जाता है: Passkey Provider। हालांकि passkey इकोसिस्टम में यह एक बहुत ही अहम हिस्सा है, फिर भी कई लोगों को passkey providers की केवल ऊपरी समझ है या वे first-party passkey provider, third-party passkey provider और passkey authentication provider के बीच का अंतर नहीं जानते हैं।

Get a free passkey assessment in 15 minutes.

Book free consultation

इस ब्लॉग पोस्ट का उद्देश्य इसी बात को आसान भाषा में समझाना है। चाहे आप एक सॉफ्टवेयर डेवलपर हों, एक product manager हों, या वेब सिक्योरिटी की नई तकनीकों के बारे में जानने के लिए उत्सुक हों, passkey providers की भूमिका और उनके प्रकारों को समझना जरूरी है। इस विषय को सरल बनाकर, हम आपको passkeys को आत्मविश्वास के साथ समझने में मदद करना चाहते हैं।

Passkey-based ऑथेंटिकेशन के इकोसिस्टम में passkey provider एक बुनियादी भूमिका निभाता है। यह यूजर्स के डिवाइसेज और relying parties (ऑनलाइन सेवाओं) के बीच एक सुरक्षित और आसान पहुंच के लिए पुल (bridge) का काम करता है। लेकिन वास्तव में passkey provider क्या है, विशेष रूप से तब जब इसकी कोई आधिकारिक परिभाषा नहीं है और आपको ऑनलाइन अलग-अलग व्याख्याएं मिलती हैं?

नीचे दी गई परिभाषा हमारी समझ को दर्शाती है और हम यह दावा नहीं करते कि यही एकमात्र सही परिभाषा है।

सरल शब्दों में, एक passkey provider वह इकाई (entity) है जो passkeys को बनाने (creation), मैनेज करने और उपयोग करने की सुविधा देती है। हमारी रिसर्च के माध्यम से, हमने दो मुख्य श्रेणियां पहचानी हैं जिनके तहत passkey providers को वर्गीकृत किया जा सकता है: First- / Third-party passkey providers और Passkey authentication providers।

Become part of our Passkeys Community for updates & support.

Join

इस श्रेणी में वे इकाइयां शामिल हैं जो क्लाइंट-साइड (यूजर के डिवाइस पर) passkey जनरेट करने में सक्षम हैं। जब इन प्लेटफॉर्म्स के माध्यम से कोई passkey बनाई जाती है, तो उसे सुरक्षित रूप से मैनेज और स्टोर किया जाता है। अक्सर यह ऑपरेटिंग सिस्टम निर्माता के क्लाउड में (जैसे iCloud Keychain, Google Password Manager) या किसी थर्ड-पार्टी पासवर्ड मैनेजर में (जैसे KeePassXC, 1Password, Dashlane जिनके बारे में नीचे बताया गया है) स्टोर होती है।

वे ऑपरेटिंग सिस्टम जो passkey creation और मैनेजमेंट को नेटिव रूप से (natively) सक्षम करते हैं, उन्हें first-party passkey providers माना जाता है। इसके विपरीत, थर्ड-पार्टी पासवर्ड मैनेजर जो APIs के माध्यम से प्लेटफॉर्म के साथ इंटीग्रेट होते हैं, उन्हें third-party passkey providers कहा जाता है।

किसी एक first-party या third-party passkey provider के पास एक ही Authenticator Attestation Globally Unique Identifiers (AAGUIDs) होता है, जो यूजर एक्सपीरियंस को बेहतर बनाने में मदद करता है (उदाहरण के लिए, अकाउंट सेटिंग्स में passkeys को आसानी से अलग-अलग पहचानने के लिए)। कभी-कभी उनके पास कई AAGUIDs हो सकते हैं, जो सभी एक ही first- या third-party passkey provider से संबंधित होते हैं।

iOS 17.4 डिवाइस पर Passkey providers

Android 14 डिवाइस पर Passkey providers

Android की Credential Manager API

दूसरी श्रेणी में वे authentication providers शामिल हैं जिन्हें डेवलपर्स passkey मैनेजमेंट के सभी पहलुओं को संभालने के लिए अपने एप्लिकेशन में इंटीग्रेट कर सकते हैं। यानी, ये वे प्रोवाइडर्स हैं जो क्लाइंट-साइड (ऊपर बताए गए) के बजाय सर्वर-साइड (server-side) पर अधिक काम करते हैं। इस परिभाषा में Corbado जैसे समाधान भी शामिल होंगे, जो वेबसाइटों और ऐप्स को passkeys पर केंद्रित ऑथेंटिकेशन समाधान प्रदान करते हैं। इसलिए, इन passkey providers को passkey authentication providers के रूप में वर्णित करना अधिक सटीक होगा, जो उन्हें ऊपर बताए गए first- और third-party passkey providers से अलग करता है।

इस ब्लॉग पोस्ट के अगले हिस्सों में, हम अपनी परिभाषा के अनुसार "passkey providers" शब्द का उपयोग first और third-party passkey providers के लिए करेंगे।

जैसे-जैसे यूजर्स विभिन्न relying parties के लिए passkeys अपनाना शुरू करते हैं, उन्हें प्रभावी ढंग से मैनेज करना एक बड़ी चुनौती बनकर उभरता है। यह उन यूजर्स के लिए भी सच है जो एक ही अकाउंट के लिए कई passkeys का उपयोग करते हैं, क्योंकि एडिटिंग या डिलीट करने के लिए इन passkeys में अंतर करना relying party के लिए जटिल हो सकता है। Passkeys की सुविधा और सुरक्षा के बावजूद, यदि कोई यूजर अपनी कोई passkey खो देता है, तो समस्या हो सकती है। सौभाग्य से, वे अभी भी वैकल्पिक passkeys का उपयोग करके relying party पर अपने अकाउंट तक पहुंच सकते हैं। यूजर्स को विशिष्ट passkeys की पहचान करने में मदद करने के लिए, कुछ संसाधन अकाउंट सेटिंग्स में passkey के साथ मेटाडेटा, जैसे कि बनाने की तारीख (date of creation) और अंतिम उपयोग (last use) जोड़ने का सुझाव देते हैं। इसके अतिरिक्त, passkeys बनाते समय उन्हें स्वचालित रूप से नाम देने और वर्गीकृत करने के लिए user agents या client hints का उपयोग करने की सिफारिश की जाती है। हालांकि, नेटिव Android या iOS ऐप्स और साथ ही third-party passkey providers शायद user agents का उपयोग न करें, या वे ऐसी जानकारी न जोड़ें जो यह बताए कि passkey किसी third-party passkey provider द्वारा जनरेट की गई है। यह कमी इस बात पर प्रकाश डालती है कि यूजर्स को अपनी passkeys को कुशलतापूर्वक मैनेज करने में मदद करने के लिए बेहतर तरीकों की आवश्यकता है, चाहे प्लेटफॉर्म या प्रोवाइडर कोई भी हो।

W3C के WebAuthn विनिर्देश से लिया गया

इस passkey मैनेजमेंट को आसान बनाने के लिए, डेवलपर्स Authenticator Attestation Globally Unique Identifier (AAGUID) का उपयोग कर सकते हैं। AAGUID एक विशिष्ट पहचानकर्ता (unique identifier) है जो authenticator के मॉडल को सौंपा जाता है, न कि उसके विशिष्ट उदाहरण (instance) को। यह पब्लिक की क्रेडेंशियल के authenticator डेटा के भीतर एम्बेडेड होता है, जो relying parties को passkey provider की पहचान करने का एक तरीका प्रदान करता है। यह क्षमता यूजर्स और relying parties को passkey परिदृश्य को समझने में मदद करने के लिए महत्वपूर्ण है, यह सुनिश्चित करते हुए कि प्रत्येक passkey को उसके निर्माण स्रोत (creation source) के साथ सटीक रूप से जोड़ा जा सके।

उदाहरण के लिए, यदि एक Android डिवाइस पर Google Password Manager का उपयोग करके एक passkey बनाई जाती है, तो relying party को Google Password Manager के लिए विशिष्ट एक AAGUID प्राप्त हो सकता है। इस AAGUID का संदर्भ लेकर, relying party तब passkey को उसी अनुसार चिह्नित कर सकती है, जिससे यूजर के लिए मैनेजमेंट और पहचान आसान हो जाती है। इसके अलावा, relying parties WebAuthn सर्वर विकल्प excludeCredentials का उपयोग करके एक ही passkey provider के लिए कई passkeys बनाने से रोक सकती हैं। यह passkeys UX को और बेहतर बनाता है क्योंकि प्रत्येक passkey provider के पास केवल एक passkey होगी, इस प्रकार यूजर को कोई कन्फ्यूजन नहीं होगा।

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

AAGUID का उपयोग करके passkey provider का निर्धारण करने के लिए, relying parties AAGUIDs की कम्युनिटी-सोर्स्ड रिपॉजिटरी का संदर्भ ले सकती हैं। यह रिपॉजिटरी नाम और संभवतः आइकन द्वारा passkey provider की पहचान करने के लिए आवश्यक मैपिंग प्रदान करती है, जो passkey मैनेजमेंट के लिए अधिक सहज यूजर इंटरफेस (UI) प्रदान करने में मदद करती है। हालांकि, यह ध्यान रखना महत्वपूर्ण है कि कुछ passkey providers जानबूझकर एक जेनेरिक AAGUID ("00000000-0000-0000-0000-0000000000000") का उपयोग कर सकते हैं, जो एक अज्ञात या सामान्य प्रोवाइडर का प्रतिनिधित्व करता है।

AAGUID प्राप्त करना अधिकांश WebAuthn libraries के साथ बहुत सीधा है। उदाहरण के लिए, जब आप server-side पर SimpleWebAuthn का उपयोग करते हैं, तो डेवलपर्स रजिस्ट्रेशन जानकारी से AAGUID निकाल सकते हैं और इसे किसी ज्ञात प्रोवाइडर के साथ मैच कर सकते हैं। इससे यूजर की अपनी passkeys को आसानी से मैनेज करने की क्षमता बढ़ती है (Google के "Determine the passkey provider with AAGUID" से लिया गया)।

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

जबकि AAGUIDs passkey मैनेजमेंट के लिए एक शक्तिशाली टूल प्रदान करते हैं, इनका उपयोग सावधानी के साथ किया जाना चाहिए। AAGUID की अखंडता (integrity) attestation प्रक्रिया पर निर्भर करती है, जो passkey provider की प्रामाणिकता को सत्यापित करती है। एक वैध attestation हस्ताक्षर के बिना, AAGUIDs के साथ छेड़छाड़ की जा सकती है। मार्च 2024 तक, यह ध्यान देने योग्य है कि कुछ प्लेटफॉर्म्स पर passkeys attestation का समर्थन नहीं करती हैं, जो उनके उपयोग में सावधानीपूर्वक विचार करने की आवश्यकता को उजागर करता है।

नीचे आपको Android ऐप्स, iOS ऐप्स और वेब ऐप्स के लिए बहुत ही सामान्य passkey ऑपरेटिंग सिस्टम वर्जन और ब्राउज़रों का उपयोग करते हुए first- और third-party passkey providers की एक सूची (जो पूरी नहीं है) मिलेगी:

नीचे, आपको passkey बनाने / सहेजने के लिए कुछ third-party passkey providers के पॉपअप मिलेंगे:

1Password का पूरा विश्लेषण यहाँ देखें।

Dashlane का पूरा विश्लेषण यहाँ देखें।

KeePassXC का पूरा विश्लेषण यहाँ देखें।

Passkeys को लागू करने और मैनेज करने में passkey providers की भूमिका केंद्रीय है। ये ऐसी इकाइयां हैं जो न केवल passkeys के निर्माण और प्रबंधन की सुविधा देती हैं, बल्कि विभिन्न प्लेटफॉर्म्स और डिवाइसेज पर उनके निर्बाध एकीकरण (seamless integration) को भी सुनिश्चित करती हैं।

Passkey provider क्या है, first-party और third-party providers के बीच का अंतर, साथ ही Authenticator Attestation Globally Unique Identifier (AAGUID) की महत्वपूर्ण भूमिका को समझना इस ब्लॉग पोस्ट का लक्ष्य था। जैसा कि चर्चा की गई है, AAGUIDs का उपयोग एक आशाजनक समाधान प्रदान करता है, जिससे passkeys की पहचान और प्रबंधन अधिक सीधा हो जाता है।

इसके अलावा, हमने विश्लेषण किया है कि वर्तमान में Android, iOS और Windows के लिए कौन से first- और third-party passkey providers मौजूद हैं, जिससे यूजर्स को एक उपयुक्त third-party passkey provider या अपनी पसंद का डिवाइस खोजने में भी मदद मिलती है।

डेवलपर्स और प्रोडक्ट मैनेजर्स के लिए, passkey providers और उनके प्रबंधन की जानकारी न केवल passkey ऑथेंटिकेशन के तकनीकी कार्यान्वयन में मार्गदर्शन करती है, बल्कि यूजर एक्सपीरियंस और सुरक्षा को बढ़ाने के व्यापक लक्ष्य के साथ भी मेल खाती है।